Ting丶丶-优快云博客

原创 uv add mcp[cli] httpx报错No `pyproject.toml` found in current directory or any parent directory

No `pyproject.toml` found in current directory or any parent directory表示当前目录没有文件pyproject.toml。但是在执行.venv\Scripts\activate之后工作目录就跳到了上一级目录导致当前目录不存在pyproject.toml。所及解决办法也很简单，只需要cd进入项目目录，再执行uv add mcp[cli] httpx即可解决。实际上在执行uv init的时候就已经生成了pyproject.toml。

2025-06-30 11:15:27 473

原创 Electron入门笔记

主进程（main.js）如果需要与渲染进程进行通信需要一个中间的进程即预加载进程（preload.js）三个进行执行顺序是主进程预加载进程渲染渲染进程，其中预加载进行可以使用主进程从一些函数方法。这是进程通信流程当需要操作os的的时候就需要用到进程通信例如通过前端向磁盘写入文件。chromium用于渲染页面 node.js用于后台操作 native用于操作os。新建nodemon.json 代码如下。进入项目文件并且初始化项目。其中渲染进程向主进程通信。主进程渲染进程双向通信。

2025-03-11 16:35:09 351

原创 2025HW报名开始啦

HW报名表:https://docs.qq.com/form/page/DRktxWmtSd3hVcGZi。访问以下链接或扫描二维码进行报名，成功填写信息报名之后，会显示进群二维码，扫描二维码即可进入面试群。在护网期间，参与红蓝对抗攻防演练，进行安全设备的监测、分析与应急响应，执行甲方安排的其他安全工作。优先考虑具备省级或国家级护网项目经验的候选人，以及具备应急响应、溯源分析和反制能力者。负责甲方客户的设备监测、巡检和故障排查，确保网络的安全与稳定运行。：蓝队（初级、中级、中+、高级）

2025-03-02 15:41:39 393 1

原创 Apache Tomcat RCE 稳定复现保姆级！(CVE-2024-50379)附视频+POC

最近爆出 Apache Tomcat条件竞争导致的RCE，影响范围当然是巨大的，公司也及时收到了相关情报，于是老大让我复现，以更好的帮助公司进行修复漏洞。复现难度其实并不大，但是成功率很低，相信很多师傅也在复现，希望能够成功，所以我对“成功率”进行了一点点研究，希望能够提高师傅们复现成功的概率。

2024-12-19 16:07:32 10191 1

原创 AI安全漏洞之VLLM反序列化漏洞分析与保姆级复现（附批量利用）

VLLM（Virtual Large Language Model）是一种旨在提升大型语言模型（LLM）推理效率的先进系统。其核心目标是通过降低计算成本和提升处理速度，来加快 LLM 在推理阶段的表现。传统的 LLM 推理通常需要消耗大量的计算资源和时间，特别是在硬件资源有限的环境中，性能瓶颈显得尤为突出。而 VLLM 采用了创新的架构设计，通过优化内存管理和计算流程，能够在不牺牲模型准确性的前提下，显著提高推理速度，使得推理过程变得更加高效和灵活。

2024-12-14 13:14:32 1704

原创安卓逆向之对抗Anti-Frida学习

Anti-Frida保护是指在移动应用或程序中采用的一种安全技术或防护机制，旨在防止或干扰Frida等动态分析工具的注入与使用。

2024-12-05 09:16:11 1753

原创安卓逆向之第一代：整体型壳的工作原理

整体型壳的核心是在应用的启动时通过自定义的Application类获取控制权，加载并解密隐藏在壳DEX文件中的原始DEX文件。为了确保这些解密后的DEX文件能够正常运行，必须修改类加载器的父类关系，使得加载的DEX文件可以与系统类加载器共享同一个上下文。脱壳的核心思路则是通过内存dump获取解密后的DEX文件，利用art::DexFile类的内存结构提取出完整的DEX文件。

2024-12-02 17:04:29 1494

原创安卓逆向之Android-Intent介绍

Intent是各个组件之间交互的一种重要方式，它不仅可以指明当前组件想要执行的动作，而且还能在各组件之间传递数据。Intent一般可用于启动Activity、启动Service、发送广播等场景。Intent有多个构造函数的重载。

2024-12-01 17:42:11 1364

原创免杀-Sysmon Bypass

系统监视器（sysmon）是一种 Windows 系统服务和设备驱动程序，该驱动程序一旦安装在系统上，就会在整个系统中保持驻留重新启动以监视系统活动并将其记录到 Windows 事件日志中。它提供有关进程创建、网络的详细信息连接，以及文件创建时间的更改。通过收集事件它使用 Windows 事件收集或 SIEM 代理生成并随后对其进行分析，您可以识别恶意或异常活动，并了解入侵者和恶意软件的操作方式您的网络。该服务作为受保护的进程运行，因此不允许各种用户模式交互。

2024-11-30 18:02:31 1001

原创安卓应用安装过程学习

声明：此文章来自的学习记录。

2024-11-23 23:24:42 1069

原创反沙箱反虚拟机的一些笔记

14.上木马之前，判断当前用户名，在loader中再判断是否与这个用户名相同不同则代表在另外一台主机上（getusername==whoami）3.判断该进程的父进程是否是explore，因为当我们点击的时候父进程应该是explore.exe，如果不是的可能就是沙箱在运行（报毒！15.在白加黑的时候，沙箱运行dll的进程是rundll32.exe，就不是目标的白程序。16.判断操作系统语言是不是中文(不是中文则是国外的)，国外一律是沙箱、或者判断时区。1.判断是否有虚拟机的文件。8.判断内存是否大于4g。

2024-11-12 14:23:45 345

原创一次恶意程序分析

在做AES解密还是使用的是AES-256-CBC算法解密之后的shellcode地址赋值给了lpAddress。然后sub_1400796E0 有 dwSize 参数推测为拷贝内存 memcpy类似函数。可见一些可疑的api FindResourceW推测该木马使用了资源加载。那么就肯定是qword_1400A0FB8函数执行的shellcode了。关键如下故推测是在对资源加载的shellcode做base64解码。进入这里推测为main函数。第二个推测也是在做内存释放。

2024-10-19 14:47:00 573

原创某安全设备审计心得

总结：相比第二RCE，第一个RCE要更难发现一点，因为他不是直接的在php中，而是在php中包含了mod，在mod中包含的mds文件中的php代码，编辑器需要设置将mod、mds扩展的文件识别为php文件，这样更容易发现这个漏洞，不然可能会误认为是注释，而忽略了这部分代码。那就来看看webui文件夹，这个文件夹是可以直接访问的，因为没有对其访问进行鉴权，这里包含了很多mod文件。举个例子，在php文件夹下的common文件夹下的Sajax.php可以直接访问。

2024-08-27 09:41:13 518

原创老生常谈杀软特性免杀数字你也行

这篇文章主题无疑是免杀，但是不会仅仅针对某一钟技术或者思路，可能会同时讨论多种技术。读完你会收获这些内容：免杀学习的方法、免杀的一些小的，但是很有威力的知识点。一些学习免杀、写免杀🐎、对抗杀软的一些技术的普遍误区。一些老生常谈技术的升级版。不再畏惧某数字杀软。

2024-08-27 09:24:56 1334

原创最新致远OA文件上传漏洞深度分析与扩展

加微信即可加入WingBy交流群（不存在娱乐化）一个可以交流CTF、WEB、内网、免杀、红队、蓝队、java/php代码审计、逆向、云安全、CNVD、证书挖掘的交流群..........

2024-08-14 10:56:00 1127

原创【Java安全开发全流程解读】Ting-Write-Nuclei V1.0发布【万户OA-SQL注入1Day-POC】

nuclei-poc一键生成工具市面上很多也很全，比如burp插件生成POCGUI功能很全，没怎么用的话可能还有点用不惯为了写一篇java安全开发全流程的文章，就自己写了个nuclei-poc生成的简化工具个人觉得还是挺方便的，目前只支持单个数据包的。毕竟只是做个教程案例，如何后期反馈还不错的话再继续更新功能（毕竟有更全的替代品），不过还是以“无脑生成POC”为初衷，不会弄的太繁琐了。

2024-08-08 12:51:11 1166

原创蓝队黑名单IP解封提取脚本

应用场景：公司给蓝队人员一个解封IP列表，假如某个IP满足属于某某C段，则对该IP进行解封。该脚本则是进行批量筛选出符合条件的白名单IP。将黑名单ip放在black.txt中，将白名单ip放在white.txt中。实操如下：公司给了一个已经封禁了的黑名单IP列表如下（black）公司要求对满足这些段的IP进行解封（white）运行main.py即可效果如下。

2024-07-22 12:08:54 265

原创西瓜杯CTF(1)

下班之前写了两个题，后面继续发。

2024-07-09 17:21:49 1089 1

原创 SRC与各类证书(EDU、CNVD、CVE)挖掘

#该文章只做教学使用，请大家在授权情况下做测试。

2024-04-29 10:37:11 2530

原创 HW蓝队面试题（初、中级）

最近朋友也在收HW简历发现很多师傅才接触以下是我以前收集再总结的蓝队hw面试题，公众号回复“面试题”，获取更多面经。

2024-04-01 11:29:00 3079 1

原创关于hook ntdll 代码详解

节的头是连续的每个节的头的大小即IMAGE_SIZEOF_SECTION_HEADER都等于40。节头存放的是节的各种信息包括节的名称、虚拟地址、大小等但是不是存放的具体内容。关于代码中的IMAGE_SIZEOF_SECTION_HEADER。找一个dll看看确实节的头是连续也确实大小是 5*8=40字节。

2024-03-26 17:25:18 594

原创众邦科技CRMEB商城商业版任意文件写入getshell 0day

可以看到也没有任何过滤导致可以向任意路径的文件写入任意内容前提是知道密码config('filesystem.password') 由于没有限制密码输入次数导致可以爆破。写入文件的接口 /adminapi/system/crud/save_file/:id 处理的代码如下。没有对传入参数的路径做任何过滤以及后缀的检查，导致可以在任意路径创建任意后缀的文件，因此可以再网站。但是内容会有默认的代码再配合以下接口进行内容修改（任意内容写入）两个接口配合即可写入任意代码导致。

2024-03-25 15:11:24 1720 1

原创 Shiro反序列化漏洞原理&代码分析（3）

创建PriorityQueue对象并add TemplatesImpl_instance（RCE类）以便compare的时候传入RCE类对象然后transform(TemplatesImpl_instance) 去实例化RCE类的对象。相比调用ChainedTransformer的更加transform的POC要简单一些因为不用去链式调用了嘛，我们只用最后调用一下InvokerTransformer的transform方法实例化一个对象就好了。由于我们要调用的链条如下。那么最终poc就是这样的。

2024-02-27 10:36:33 573

原创 JNDI注入+RMI流程复现代码调试

然后，它创建了一个Reference对象，该对象包含了一个URL地址。这里，url被用作Reference对象的一个参数，表示该对象引用的远程服务的地址。首先，它定义了一个url变量，该变量包含了要访问的远程对象的地址，格式为"rmi://localhost:1099/obj"。lookup方法会根据传入的url地址，在远程JNDI环境中查找对应的远程对象，并返回对该对象的引用。也就是服务的开启1099端口等开客户端远程调用，然后调用时，服务的回去8080端口找到客户端要调用的类，再返回给客户端。

2024-02-23 14:10:00 631 1

原创 Shiro反序列化漏洞原理&代码分析（2）

如果前面comparator.compare的comparator是个TransformingComparator类那么就会进入这里调用this.transformer.transform(obj1)，而在之前分析的cc1链中我们知道这个transform是可以调用任意类的任意方法导致RCE的，所以我们就需要构造一个合适的PriorityQueue类然后触发这个transform方法配合cc1链的链式调用进行RCE。造成RCE的原因是他的heapify方法跟进看看。首先我们将一个对象转为字节码。

2024-02-21 16:47:12 489

原创 Shiro反序列化漏洞原理&代码分析（1）

我们知道shiro反序列化是他加密cookie的AES密钥硬编码，造成我们可以任意伪造cookie，注入恶意的类反序列化造成的RCE，那么我们就看看如何处理cookie的。所以整个输入是我们可控的接下来就要寻找一个可以反序列化的对象，该对象readobject方法可以造成RCE也就是cc链2的利用了。先是获取请求体中的cookie也就是rememberMe的值。可以看到cookie是可控的然后cookie经过了以下转换。再跟进就调用了object方法了。

2024-02-21 15:08:48 290

原创 Commons Collections1 反序列化分析

那么要调用checksetvalue函数，就要先通过构造方法给这个valueTransformer赋值，而valueTransformer必须是InvokerTransformer类才能进入InvokerTransformer的transform中，或者另外一个类他含有transform方法而且其transform方法可以调用InvokerTransformer的transform方法也就是ChainedTransformer这个类，这两种方法都可以。

2024-02-19 12:34:02 935 1

原创开源系统任意文件读取审计（1day）

发生漏洞的代码如下漏洞点在这段代码代码原意是规定只能打开网站根目录以内的文件的，但是可以使用目录穿越绕过只要filepath字符串中包含有rootdir即可返回false 在配合目录穿越访问别的敏感文件接口是：/adminapi/system/file/openfile。

2024-02-07 20:24:09 495 1

原创逻辑漏洞+未授权访问漏洞讲解（教案）

目录穿越即上传的文件可以到任意的目录位置包括网站的根目录，这样就可以直接访问得到了。['filePath', []],//生成文件位置可以目录穿越 ../../../ 到达根目录。//获取要写入的内容。通俗来讲就是后端设计的某个功能的代码逻辑有缺陷，攻击者可以利用逻辑的缺陷损害厂商的利益或者他人的利益。修改密码的时候，参数step，表示步骤1，2，3直接将step改为3跳过中间的验证步骤直接修改密码。有的人认为这可能不是漏洞，但是他是，因为发一次短信厂商是会扣钱的，对收到短信的人也是一种骚扰。

2024-02-03 01:03:05 1453 1

原创 YXCMS1.4.7审计任意文件删除&&写入

不容易想到是删除重装锁定的文件之后通过mysql 的漏洞伪造mysql服务的读取客户端的任意文件。全局搜索敏感函数file_put_contents 或者灰盒测试也很容易找到位置。在根目录放了文件所以后面检测文件是否存在会返回true。直接上传任意php 如果没有读取权限可以根据目录穿越。发现只要提交的key value与类中的相同即可。提交的为 __hash__这个参数以下划线分割。如果文件已存在会直接覆盖造成任意文件覆盖。满足刚刚的条件就直接写入了。进入isPost看看。

2024-01-24 18:09:16 533 1

原创 PHPCMS注册邮箱处SQL注入的修复分析

再看到他使用call_user_func()方法对应调用的是 $controlle类r的public_checkemail_ajax方法。因此即使出现了 % 也是不行的（之前的sql注入就是利用url编码绕过addslasher，如果email里面有%27则会报错）此外因为最新版本在sql执⾏之前进⾏预编译了也就是说如果解密后发现有引号之类的仍会加上反斜杠。parm构造类里面调用了addslasher即对' ''加上反斜杠。然后看看这个类的构造函数这里主要看看parm类的构造函数。

2024-01-23 16:40:02 666 1

原创关于宽字节sql注入的tips

但是如果不仅设置了iconv("utf-8","gbk",$_POST['ting'])又设置了 iconv("utf-8","gbk",$_POST['ting'])，即先gbk在binarry则会发生新的问题。\（%5c）在配合前面的%df 会拼成一个中文 '運' 使得单引号逃逸出来，但是如果在数据库的配置文件中进行了如下操作则上文的payload将不再有效。程序员为了防御宽字节注入通常调用以下函数让传入数据库（配置gbk编码）的字符流设置为gbk来通统一编码。

2024-01-23 16:30:38 405 1

原创关于bypassUAC

原理：注册表中的一些程序，在运行时，由于被加入白名单了，这些程序要么本身具有管理员权限，要么可以直接获取管理员权限，那么可以点击运行后静默为管理员权限，不需要弹出uac的窗口，那么攻击者可以通过修改注册表中的这些uac白名单的程序，将其换成一个恶意的程序那么即可管理员权限运行绕过uac认证。关于DLL劫持还有一个需要注意的，当你劫持了一个DLL之后，那么原先的程序就不能正常运行了，甚至可能会损坏系统，为了防止这种事故发生，一般会在恶意的dll中去加载真正的dll，这样就不会影响程序的正常运行了。

2024-01-23 16:29:05 765 1

原创 Linux痕迹清理

当用户使用history命令时，系统会读取.bash_history文件，并将其中的命令按照编号的顺序显示出来。攻击者在获取一台主机权限后，往往回执行一些查询命令，例如whoami、ifconfig，有需求的话可能还会进行一些提权命令的操作等等，这些命令都会留存到Linux的history（历史命令记录）中，所以历史命令的清除是痕迹清理很重要的手段。2.输入以下两条命令中任意一条将.bash_history大小设置为0，相当于清空所有历史命令，包括了当前会话缓存的命令记录，以及之前会话的命令记录。

2024-01-23 16:27:18 1822 1

空空如也

空空如也